目次

• TLPTとは
• TLPTの品質を左右する要素
• TLPTにおける脅威インテリジェンスの位置づけ
• 脅威インテリジェンスの活用
• おわりに

1．TLPTとは

TLPT（Threat-Led Penetration Testing）とは「脅威ベースのペネトレーションテスト」の略称で、攻撃シナリオに基づいて疑似的な攻撃を行うことでセキュリティ対策状況を評価する手法を指します。
評価範囲には組織・体制・対応プロセスなども含まれており、その他のセキュリティテストと比較すると、サイバー攻撃に対する事前防御だけでなく、検知・対応・復旧のような事後の対処まで評価する点で、注目されている手法の一つです。

図1：TLPTとその他セキュリティテストとの比較

2．TLPTの品質を左右する要素

TLPTには、攻撃シナリオの策定やリスク管理計画、疑似攻撃の実施計画、サイバーレジリエンス評価（※1）など、幅広い組織やステークホルダが関連する取り組みが多いため、計画段階から全体の共通認識となる目的や方針を定めておくことが必要です。

以下は、TLPT計画段階時に検討すべき事項の一例です。

図2：TLPT実施前に検討すべき事項

この中で、「攻撃シナリオ／手法」は、組織の防御、検知、対応能力を評価するうえで重要な要素の一つであり、これを適切に検討していくためには、組織にとっての「脅威」を明確にすることが鍵となります。この「脅威」の整理に役立つ情報が脅威インテリジェンスです。

3．TLPTにおける脅威インテリジェンスの位置づけ

TLPTは、システムや組織への攻撃を担当する「レッドチーム」、システムや組織への攻撃に対し、検知・分析・対応を行う「ブルーチーム」、CISOやレッドチーム、ブルーチームの間に立ち、評価・報告を行う「ホワイトチーム」で構成されます。
昨今、テスト時の効率と有効性を更に向上させるために、ブルーチームとレッドチーム双方の役目を担うパープルチームというものも出てきていますが、一般的には、この3つのチームで取り組みを進めます。

図3：TLPTの全体像と各プロセス

攻撃シナリオ作成のフェーズでは、「ホワイトチーム」や「レッドチーム」が、組織のシステム特性や運用状況、ネットワーク内に存在する機器の脆弱性の情報をもとに攻撃シナリオの検討を進めますが、それに加えて、より当該組織に影響する可能性の高い、組織固有の「脅威」を情報源の一つとするケースがあります。その際に活用するのが脅威インテリジェンスです。

脅威インテリジェンスとは、サイバー攻撃の情報や、その攻撃手法、動機など、サイバー空間に関する膨大な情報から、組織が効果的に活用するために収集、加工、分析された情報のことです。SNS、脆弱性データベース、GitHubなどのインターネット上で公開されている情報をもとに収集、加工、分析するOSINTのような手法から、セキュリティベンダーが提供している有償サービスまで、その内容によってレベル感や粒度が大きく異なります。

脅威インテリジェンスを活用した攻撃シナリオをもとにテストを実行することで、組織がそれまで気づくことができなかった潜在的な脅威に対する評価が可能となります。その結果、より正確に組織の脆弱性を特定でき、効果的なセキュリティ対策の検討に役立てきることができます。しかしながら、脅威インテリジェンスの活用に多くのにコストや期間を費やしてしまうと、TLPTにおいて組織が期待する結果を得られないケースもあることに注意が必要です。TLPTを行う目的を適切に定め、その目的にあわせて脅威インテリジェンスの活用要否や度合を決めておくことが重要です。

4．脅威インテリジェンスの活用

TLPTにおいては、脅威インテリジェンスから導出された組織固有の「脅威」に対して、様々な攻撃手法を検討し、一連の攻撃シナリオとして整理していきます。なお、「脅威」と各攻撃手法の対応関係を示す際には、サイバーキルチェーン（※2）やMITRE ATT＆CK（※3）などの共通的なフレームワークが活用できます。経営者やレッドチーム、その他の関連組織とのコミュニケーションを円滑に進めるうえでも有効なツールです。

ここで、脅威インテリジェンスを活用するシーンについて、簡単にご紹介します。
前述の通り、脅威インテリジェンスは、サイバーセキュリティに関する脅威情報を収集・加工し、それらを分析することによって得られます。収集・分析対象となる項目やそれに紐づくデータとしては、例えば以下が存在します。

図4：脅威インテリジェンス検討のための項目やデータ例

これらの項目のうち、「ハッカープロファイル」を優先度の高い項目と仮定したうえで、調査・分析を進めてみます。まず、世の中で注目されるハッカーグループや、これまで代表的に使用された攻撃の情報を収集します。次に、業界ごとに注目されているハッカーグループに範囲を限定し、彼らが直近で利用している、もしくは利用予定の攻撃について、IoC（※4）や実際のハッカー同士の会話などのデータから調査します。これらの調査結果をもとに、業界内外で共通的に使用される攻撃や、利用頻度が高い攻撃などを分析し、組織の「脅威」を定義します。このような作業を、偵察、初期アクセスといった攻撃のフェーズごとに実施し、最終的に、一連の攻撃シナリオとして構築していきます。
以下はMITRE ATT＆CKを用いた取り組み例です。

図5：脅威インテリジェンスとMITRE ATT＆CKの活用

ここでは例として、「ハッカープロファイル」を一つの観点としましたが、実際には、他にも様々な項目やデータが脅威インテリジェンスの要素として活用され、組織固有の「脅威」の特定に向けた取り組みが行われます。この取り組みの良し悪しが、以降の攻撃シナリオ作成や、組織の防御、検知、対応能力などの評価の品質に大きく影響を与えますが、多岐にわたるこれらのデータ全てを脅威インテリジェンスのインプットとするのは、限られた期間で実施するTLPTにおいては有効な手段であるとは言えません。
そのため、品質の高い組織固有の「脅威」を特定するにあたっては、TLPTの目的や期間、コストなどを考慮したうえで、脅威インテリジェンスの活用をどの程度優先するのか、TLPTの計画段階で見極めておくことが重要です。

例えば、昨今の動向を踏まえたうえで、最新の脅威に対する組織の防御、検知能力の評価を優先したい場合、攻撃シナリオの有力なインプットとして脅威インテリジェンスを十分に活用することが望ましいです。一方で、攻撃発生後の、組織としてのサイバーレジリエンス評価を優先したいのであれば、「脅威インテリジェンス」の活用は最低限にする、もしくは活用せずに「既知の脆弱性を悪用する攻撃」などから「ブルーチーム」の対応のトリガとなるような攻撃に留めたシナリオを検討する場合もあると考えられます。

5．おわりに

脅威インテリジェンスを攻撃シナリオに活かすことは、組織のセキュリティ対策を評価するうえで非常に有効です。ただし、そのためには組織がTLPTで何を評価するのかをまずは明確にし、必要なプロセスや制約事項を整理したうえで、正しくTLPTを機能させる枠組みを作っておく必要があります。
脅威インテリジェンスの活用だけに注力した結果、他の取り組みが不十分では、中途半端な評価に終わる可能性があるからです。

金融庁が公開した「金融分野におけるサイバーセキュリティに関するガイドライン」（※5）でも、定期的なTLPTの実施が推奨されているように、今後も継続してTLPTの実施が必要となることが予想されます。
サイバー攻撃の脅威は日々進化していることを踏まえると、TLPTの対象システムや評価範囲、評価目的なども、その時の組織の状況によって変化することが考えられます。

過去に実施したTLPTの内容やそこで得た結果、あるいは、組織が現在直面しているセキュリティ課題などから、組織が可視化したいセキュリティ対策の耐性・限界点を見極め、それに応じて脅威インテリジェンスの活用要否や度合いを変えていくこともできるのではないでしょうか。

今回の記事が、TLPTを検討されているセキュリティ担当者の皆様の一助となれば幸いです。